VMware vCenter publieke PoC CVE-2021-21986

Met de Proof-of-Concept-exploit kan een niet-geauthentiseerde aanvaller willekeurige bestanden downloaden van de VMware vCenter server of toegang krijgen tot willekeurige websites via de VMware vCenter server.

Op basis van VMware Advisory VMSA-2021-0010, zijn de volgende versies kwetsbaar:

• VMware vCenter ouder dan 7.0 U2b
• VMware vCenter ouder dan 6.7 U3n
• VMware vCenter ouder dan 6.5 U3p

Wat kunt u doen om mogelijke schade te beperken of voorkomen?

VMware heeft op 25 mei 2021 een patch uitgebracht, het is raadzaam de patch zo snel mogelijk te installeren. Wanneer het toepassen van de patch niet mogelijk is, is er een workaround beschikbaar in KB83829.

Daarnaast is het sterk aanbevolen om de toegang tot de VMware vCenter-webinterface te beperken en de service niet bloot te stellen aan het internet.

De exploit beschrijft de volgende aanvalstechnieken:

• Unauthenticated arbitrary file read – middels deze techniek kan een aanvaller willekeurige bestanden downloaden van de lokale schijf van het systeem. Op basis van onze analyse lijkt dit beperkt te zijn tot de gebruiker vsphere-ui die lid is van de groep users.
• Unauthenticated server-side request forgery (SSRF) – middels deze techniek kan een aanvaller toegang krijgen tot webpagina’s of webportals vanaf de VMware vCenter-server. Dit kan leiden tot privilege-escalation of worden gebruikt voor lateral movement.
• Unauthenticated cross-site scripting (XSS) – In combinatie met de SSRF-kwetsbaarheid kan een aanvaller toegang krijgen tot een webpagina die JavaScript-bestanden bevat, wat kan leiden tot een XSS-kwetsbaarheid.

We vermoeden dat deze exploit mogelijk verband houdt met CVE-2021-21986 op basis van de volgende observaties:

• VMware vCenter versie 7.0.2.00100 (build 17920168 – update 2a) lijkt de laatste kwetsbare versie te zijn. Vanaf versie 7.0.2.00200 (build 17958471 – update 2b) werkt de Proof-of-Concept exploit niet meer.
• Het toepassen van de tijdelijke oplossing, specifiek voor de plug-in “VMware Cloud Director Availability”, zoals beschreven in KB83829, voorkomt dat de Proof-of-Concept-exploit werkt.
• CVE-2021-21986 beschrijft een kwetsbaarheid in het authenticatiemechanisme van specifieke plug-ins, waaronder de plug-in “VMware Cloud Director Availability”. De URL die wordt gebruikt in de Proof-of-Concept-exploit is gerelateerd aan de plug-in “VMware Cloud Director Availability”.
• Zodra de patch of de tijdelijke oplossing is toegepast, werkt de Proof-of-Concept-exploit niet meer en wordt het bericht ‘HTTP Status 401 – Unauthorized’ geretourneerd door vCenter.

Meer informatie:

• PoC exploit
• VMware Advisory VMSA-2021-0010
• VMware Advisory VMSA-2021-0027
• VMware KB83829 – workaround CVE-2021-21986